OpenAI parece aparecer en los titulares todos los días y esta vez es por una doble dosis de preocupaciones de seguridad. El primer problema se centra en la aplicación ChatGPT para Mac, mientras que el segundo insinúa preocupaciones más amplias sobre cómo la empresa está manejando su ciberseguridad.
A principios de esta semana, el ingeniero y desarrollador de Swift Pedro José Pereira Vieito la aplicación Mac ChatGPT y descubrió que estaba almacenando las conversaciones de los usuarios localmente en texto sin formato en lugar de cifrarlas. La aplicación sólo está disponible en el sitio web de OpenAI y, dado que no está disponible en la App Store, no tiene que seguir los requisitos de sandboxing de Apple. La obra de Vieito fue luego cubierta por y después de que el exploit llamara la atención, OpenAI lanzó una actualización que agregó cifrado a los chats almacenados localmente.
Para quienes no son desarrolladores, el sandboxing es una práctica de seguridad que evita que posibles vulnerabilidades y fallas se propaguen de una aplicación a otras en una máquina. Y para los no expertos en seguridad, almacenar archivos locales en texto sin formato significa que otras aplicaciones o malware pueden ver fácilmente datos potencialmente confidenciales.
El segundo problema ocurrió en 2023 con consecuencias que han tenido un efecto dominó que continúa hasta el día de hoy. La primavera pasada, un pirata informático pudo obtener información sobre OpenAI después de acceder ilícitamente a los sistemas de mensajería internos de la empresa. informó que el gerente del programa técnico OpenAI, Leopold Aschenbrenner, planteó preocupaciones de seguridad a la junta directiva de la compañía, argumentando que el hackeo implicaba vulnerabilidades internas que los adversarios extranjeros podrían aprovechar.
Aschenbrenner ahora dice que fue despedido por revelar información sobre OpenAI y por sacar a la luz preocupaciones sobre la seguridad de la empresa. Un representante de OpenAI dijo Los tiempos que “si bien compartimos su compromiso de crear AGI segura, no estamos de acuerdo con muchas de las afirmaciones que ha hecho desde entonces sobre nuestro trabajo” y agregó que su salida no fue el resultado de una denuncia de irregularidades.
Las vulnerabilidades de las aplicaciones son algo que todas las empresas de tecnología han experimentado. Las infracciones por parte de piratas informáticos también son deprimentemente comunes, al igual que las relaciones conflictivas entre los denunciantes y sus antiguos empleadores. Sin embargo, entre la amplia adopción de ChatGPT en los servicios y lo caótica que ha sido la empresa, estos problemas recientes están comenzando a pintar un panorama más preocupante sobre si OpenAI puede administrar sus datos.
